10 MAI 2026
● OPÉRATIONNEL
DÉCODEUR CYBER
LES ALERTES DU CERT-FR · VULGARISÉES · POUR TOUS
CERT-FR ↗
ACTUALITÉ10 MIN DE LECTURE· 8 MAI 2026

Piratage Canvas : 275 millions d'étudiants exposés par ShinyHunters

ShinyHunters a piraté Instructure et Canvas en mai 2026. 275 millions d'étudiants concernés, 9 000 écoles : décryptage, données volées et conseils de protection.

D

Décodeur Cyber

Veille cybersécurité & vulgarisation

Piratage Canvas : 275 millions d'étudiants exposés par ShinyHunters

Début mai 2026, le secteur éducatif mondial a encaissé l'une des plus grosses fuites de données jamais enregistrées : 275 millions d'utilisateurs de Canvas auraient été exposés après une intrusion dans les systèmes d'Instructure, l'éditeur américain de cette plateforme pédagogique utilisée par environ 9 000 écoles, lycées et universités. Derrière l'attaque, un nom déjà tristement célèbre : ShinyHunters, le même groupe d'extorsion qui a frappé Snowflake, Ticketmaster ou AT&T en 2024. Le piratage Canvas soulève une question qui dépasse largement le monde universitaire : que faire quand la fuite ne contient « ni mots de passe ni données financières » mais des informations qui rendent toutes vos communications futures vulnérables ?

Décryptage des faits, des données concernées et des bons réflexes à adopter, que vous soyez étudiant·e, enseignant·e ou responsable informatique d'un établissement.

Que s'est-il passé sur Canvas ?

Canvas est un LMS (Learning Management System), c'est-à-dire une plateforme en ligne qui centralise cours, devoirs, notes, échanges entre étudiants et professeurs. Dans le monde anglo-saxon, c'est l'outil dominant : Harvard, Yale, Penn, UC Berkeley, Duke, l'ensemble de l'Ivy League, des milliers de community colleges et de districts scolaires américains s'appuient sur Canvas pour faire tourner leurs enseignements. En France, Canvas est plus discret mais présent dans certains établissements supérieurs, notamment des écoles de commerce et d'ingénieurs.

L'éditeur, Instructure, a confirmé le 1ᵉʳ mai 2026 être victime d'« un incident de cybersécurité perpétré par un acteur malveillant criminel ». Deux jours plus tard, le groupe ShinyHunters revendique l'attaque et chiffre l'ampleur du butin : 275 millions d'enregistrements, couvrant étudiants, enseignants et personnels d'environ 9 000 établissements.

Chronologie des événements

  • 30 avril 2026 — Première intrusion détectée. Instructure désactive en urgence Canvas Data 2 et Canvas Beta.
  • 1ᵉʳ mai — Communiqué officiel d'Instructure. La société engage une firme de forensics et notifie les autorités américaines.
  • 3 mai — ShinyHunters revendique publiquement.
  • 5 mai — Le groupe publie la liste des 9 000 établissements concernés pour mettre la pression. Toute l'Ivy League y figure.
  • 6 mai — Premier ultimatum « pay or leak ».
  • 7 mai — Canvas est à nouveau frappé. Les pages de connexion de centaines d'universités sont defacées (remplacées par un message d'extorsion). L'incident tombe en pleine semaine d'examens finaux pour de nombreuses universités américaines.
  • 12 mai — Échéance finale annoncée : sans paiement, publication intégrale.

→ Pour une chronologie détaillée et internationale, voir Wikipedia — 2026 Canvas security incident.

Qui est ShinyHunters, le groupe derrière l'attaque ?

ShinyHunters n'est pas un nouveau venu. Actif depuis 2020, ce groupe d'extorsion s'est forgé une réputation en monétisant des bases de données volées. À leur tableau de chasse : Snowflake (et par ricochet AT&T, Ticketmaster, Santander), Microsoft GitHub, Wattpad, Tokopedia. Le mode opératoire est récurrent : exploitation d'une faille ou d'identifiants volés, exfiltration silencieuse, puis publication de la fuite sur des forums clandestins et négociation parallèle avec la victime.

Le piratage de Canvas s'inscrit dans la nouvelle stratégie du groupe : viser les fournisseurs de services partagés (supply chain) pour multiplier l'impact. Plutôt que d'attaquer 9 000 écoles une par une, autant compromettre l'éditeur qui gère leurs données.

Quelles données ont été volées ?

C'est la question qui détermine le niveau de risque pour chacun.

Ce qui a fuité

Selon Instructure et ShinyHunters, la fuite contient :

  • les noms complets des utilisateurs ;
  • les adresses e-mail institutionnelles ;
  • les numéros d'étudiant ou identifiants internes ;
  • l'intégralité des messages privés échangés sur la plateforme entre étudiants et entre étudiants et enseignants ;
  • des numéros de téléphone dans certains cas.

Ce qui n'a pas fuité (selon Instructure)

L'éditeur affirme qu'aucun des éléments suivants n'aurait été compromis : mots de passe, dates de naissance, identifiants gouvernementaux (numéros de sécurité sociale aux USA), données bancaires ou de carte de paiement.

Cette précision rassure, mais elle ne doit pas faire baisser la garde. Les données qui ont fuité forment exactement le kit parfait pour du phishing ciblé, comme l'a alerté Times Higher Education dès le 6 mai : un attaquant peut désormais envoyer un faux mail prétendument écrit par votre prof, citant un cours réel, un devoir réel, un numéro d'étudiant réel.

Pourquoi cette fuite est dangereuse même sans mots de passe

C'est probablement le point le plus contre-intuitif de cet incident. La plupart des médias grand public titrent sur « pas de mots de passe volés » comme si l'affaire était bénigne. C'est une lecture trompeuse.

1. Le spear-phishing devient ultra-crédible. Avec un nom, une fac, un cours, un échange de messages privés en main, un attaquant peut écrire un mail qui passera n'importe quel filtre humain : « Bonjour [Prénom], suite à notre échange du 14 avril sur le devoir de [Cours], merci de finaliser votre inscription à l'examen via ce lien. » Le lien mène à une fausse page de connexion universitaire qui collecte vos vrais identifiants.

2. L'usurpation d'identité devient possible. Les numéros d'étudiant servent souvent à des opérations administratives : demande de relevé de notes, certificat de scolarité, accès à des plateformes tierces. Un fraudeur peut les exploiter pendant des mois.

3. Les messages privés contiennent parfois des informations sensibles. Un étudiant qui demande à un service de scolarité un aménagement pour raison médicale, un enseignant qui mentionne une situation difficile chez un élève : ce contenu, théoriquement confidentiel, peut faire surface dans un futur data leak.

4. Le contexte de la fuite favorise les arnaques. Pendant les semaines qui suivent, des messages d'« assistance » prétendument envoyés par votre université arriveront. Ils proposeront de « sécuriser votre compte », demanderont une « régularisation » ou un « changement de mot de passe via ce lien ». Tous seront frauduleux.

Quelles écoles et universités sont concernées ?

ShinyHunters a publié le 5 mai une liste qui recense près de 9 000 établissements. Parmi les plus visibles :

  • les 8 universités de l'Ivy League (Harvard, Yale, Princeton, Columbia, Penn, Cornell, Dartmouth, Brown) ;
  • UC Berkeley : ~600 000 enregistrements selon le Daily Californian ;
  • University of Pennsylvania : ~300 000 enregistrements ;
  • Duke University, Stanford, Oklahoma, Rutgers, University of Michigan, University of California system ;
  • des districts scolaires complets dans plusieurs États américains (Caroline du Nord notamment, où tous les comtés étaient impactés).

Côté France, aucun grand établissement public n'a, à ce jour, confirmé être sur la liste — Canvas étant moins répandu qu'aux États-Unis. Mais des écoles privées et certains programmes francophones internationaux utilisant Canvas peuvent être concernés. Si votre établissement utilise Canvas, partez du principe que vos données ont fuité jusqu'à preuve du contraire et appliquez les recommandations ci-dessous.

Que faire si vous avez un compte Canvas ?

Voici les actions concrètes à réaliser dans les jours qui viennent. Ces conseils s'inspirent des recommandations d'Instructure, des CISO universitaires américains et des bonnes pratiques de l'ANSSI en cas de fuite de données.

Actions immédiates

  1. Changez votre mot de passe Canvas dès maintenant, et choisissez un mot de passe long et unique (12 caractères minimum, sans réutilisation d'un autre service).
  2. Activez l'authentification à deux facteurs (2FA) sur votre compte Canvas et sur votre compte mail institutionnel. C'est la barrière la plus efficace contre la prise de contrôle de compte.
  3. Vérifiez si votre établissement figure sur la liste publiée par ShinyHunters. Si oui, surveillez attentivement les communications officielles de votre service informatique dans les semaines à venir.
  4. Modifiez les mots de passe que vous auriez réutilisés ailleurs — services Google, réseaux sociaux, plateformes de devoirs en ligne. Si vous utilisez le même mot de passe partout, c'est le moment d'utiliser un gestionnaire de mots de passe (KeePass, Bitwarden, 1Password).

Reconnaître le phishing post-fuite

Les attaques de phishing dérivées de cette fuite vont arriver. Voici les signaux d'alerte :

  • E-mail qui vous nomme correctement mais demande une action urgente (« votre compte sera suspendu »).
  • E-mail qui cite un cours réel ou un numéro d'étudiant mais provient d'un domaine légèrement différent du vrai (ex : support-canvas-uni.org au lieu de canvas.harvard.edu).
  • Demande de « régulariser votre dossier », de « valider votre inscription », de « mettre à jour vos coordonnées » via un lien externe.
  • Pièces jointes inattendues, en particulier .zip, .html ou .lnk déguisés en PDF.

Règle d'or : ne cliquez jamais sur un lien dans un mail prétendument administratif. Allez sur le portail officiel de votre établissement en tapant l'URL vous-même dans votre navigateur. En cas de doute, contactez le service informatique par téléphone.

Que faire si vous êtes DSI ou RSSI d'un établissement utilisant Canvas ?

Les bonnes pratiques techniques recommandées par Instructure et reprises par les grandes universités américaines :

  • Forcer la rotation de tous les jetons API Canvas, des secrets OAuth et des comptes administrateurs.
  • Activer la 2FA sur l'ensemble des comptes à privilèges (admin Canvas, admins SSO).
  • Auditer les logs d'authentification depuis le 25 avril : recherche de connexions anormales, IP inhabituelles, exfiltration de données via les API.
  • Notifier vos utilisateurs de manière transparente : il vaut mieux être proactif que de laisser ShinyHunters communiquer à votre place.
  • Préparer la communication post-12 mai : si la fuite est publiée intégralement, vos étudiants vont vouloir savoir si leurs messages privés sont accessibles.
  • Vérifier vos obligations RGPD auprès de la CNIL : une fuite touchant des données personnelles d'utilisateurs européens doit être notifiée dans les 72 heures.

Quels enseignements pour les autres plateformes éducatives ?

Le piratage de Canvas n'est pas un cas isolé. En 2024, PowerSchool (un autre fournisseur scolaire majeur aux États-Unis) avait été compromis dans des conditions similaires. Plus récemment, Moodle, le LMS open source, a fait l'objet d'alertes de vulnérabilité critique.

Trois leçons à retenir :

1. La supply chain est devenue le maillon faible. Compromettre un fournisseur, c'est toucher des milliers d'organisations d'un coup. Les écoles et universités ne maîtrisent pas la sécurité de leurs prestataires SaaS.

2. Les données « non sensibles » n'existent pas vraiment. Un nom + un mail + un contexte académique suffisent à mener des attaques très sophistiquées.

3. La 2FA reste le rempart le plus rentable. À chaque fuite, les comptes protégés par 2FA résistent. Ceux qui ne le sont pas tombent.

Pour aller plus loin sur les bonnes pratiques de sécurité dans l'éducation, consultez le guide « Authentification à deux facteurs (2FA) : comment ça marche et pourquoi l'activer ».

En résumé

Le piratage de Canvas par ShinyHunters est l'incident éducatif majeur de 2026. À retenir :

  • Ampleur : 275 millions d'utilisateurs, 9 000 écoles, dont toute l'Ivy League américaine.
  • Données concernées : noms, e-mails, numéros d'étudiants, messages privés. Pas de mots de passe ni données bancaires a priori.
  • Risque principal : spear-phishing ultra-personnalisé dans les semaines à venir.
  • Échéance critique : 12 mai 2026, date après laquelle ShinyHunters menace de tout publier.
  • À faire maintenant : changer son mot de passe Canvas, activer la 2FA, méfiance maximale sur les e-mails prétendument administratifs.

La cybersécurité, ce n'est pas seulement empêcher l'attaque : c'est aussi savoir réagir après. Ce piratage en est un manuel pratique.

Sources : Instructure — Communiqué de sécurité (Université du Michigan) · TechCrunch · BleepingComputer · Inside Higher Ed · Times Higher Education · Malwarebytes · ANSSI · CNIL

TAGS :piratage Canvas Instructuregrand publicétudiantsenseignantsDSI
RÉAGIR :
← TOUS LES ARTICLES
PARTAGER :X ↗LINKEDIN ↗
À LIRE AUSSI
VOIR TOUT →
ACTUALITÉ

Plan cyber de l'État : ce que change le plan Lecornu (200 M€)

Plan cyber de l'État : 200 M€, autorité numérique, fonds CNIL... Décodage du plan annoncé par Sébastien Lecornu après l'affaire ANTS.

8 MINLIRE →
ACTUALITÉ

Piratage ANTS : le titre sécurisé qui ne l'est plus (11,7 M de Français touchés)

Piratage ANTS : 11,7 millions de Français exposés, failles connues ignorées depuis des mois. Ce qu'il faut savoir et les gestes pour vous protéger.

13 MINLIRE →
ACTUALITÉ

Piratage ÉduConnect : 3,5 M d'élèves exposés, comment protéger vos enfants

Piratage ÉduConnect : 3,5 millions d'élèves mineurs touchés. Les vrais risques pour les familles et les 5 gestes à adopter dès maintenant pour protéger votre enfant.

12 MINLIRE →